En este ejemplo práctico vamos a explicar paso a paso como realizar una comunicación extremo a extremo, entre las redes internas de una ubicación (SEDE Cliente), con las redes internas de un proyecto dentro de Soax, mediante la configuración de una VPN site to site.
En este caso en concreto, en la ubicación SEDE Cliente, disponemos de un Mikrotik como router principal de su sede y en Soax, un router nativo de este servicio.
También puede usar esta configuración si tiene un Mikrotik en su proyecto de Soax, para más información de como crear uno visite: Mikrotik en Soax.
¶ Configuración del tunel IPsec SEDE Cliente
Las VPN Site to Site, se configuran por fases. En Mikrotik podemos agrupar las pestañas de configuración de la siguiente manera:
¶ Fase 1
¶ Profiles
En esta sección se configurarán los algoritmos de encriptación de la fase 1
- Elegimos un nombre: profileOasix
- sha256 como algoritmo hash
- aes256 como algoritmo de encriptación
- DH Group: Elegimos modp1024 (equivalente a grupo 2)
- El lifetime a 1 hora
- DPD interval a 30 seg
- DPD Max Failure a 5
¶ Peers
En esta sección se configurará la IP Remota, modo de intercambio (política IKE), asociación de perfil.
- Elegimos un nombre: peer1Oasix
- Address: 84.236.133.66 (IP Publica remota)
- Profile: profileOasix (el profile antes configurado)
- Exchange Mode: IKE2 (IKE v2)
¶ Indentities
En esta sección se configurarán las identidades, local y remota, y el método de autenticación.
- Elegimos el peer anteriormente creado: peer1Oasix
- Metodo de autenticación: Pre shared key
- Secret: 123456789 (aquí pondremos una contraseña más segura, esta es a modo ejemplo)
- My ID Type: addresess
- My ID: 78.136.97.64 (En el ID pondremos la dirección IP Publica local)
- El resto de parámetros los dejamos por defecto
¶ Fase 2
¶ Proposals
En esta sección se configurarán los algoritmos de encriptación de la fase 2.
- Elegimos un nombre: proposals1Oasix
- sha256 como algoritmo Autenticación
- Seleccionaremos aes-256 cbc, aes-256 ctr, aes-256 gcm, como algoritmos de encriptación
- El lifetime a 30 min
- PFS Group modp1024 (Grupo2)
¶ Policies
En esta sección se configurarán las las políticas de IPSec, asi como las subredes local y remota, que se quieren comunicar
- Elegimos un nombre: peer1Oasix
- Seleccionamos el checkbox de Túnel
- Src address: 10.10.11.0/24 (subred local)
- Dst. Address: 192.168.2.0/24 (subred remota)
- Protocol: 255 (all)
6. En la pestaña Action:
7. El resto todo por defecto
¶ Permitir acceso en Firewall
Para poder permitir el trafico entre las 2 subredes, debemos de configurar una regla en el firewall de nuestro router Mikrotik.
Para ello, iremos al apartado “IP”, y en las opciones que se despliegan, seleccionaremos “Firewall”.
Una vez abierta la ventana de configuración de firewall, seleccionaremos la pestaña de “NAT” y añadiremos una nueva regla, apretando a la opción de “+”.
En la pestaña general, elegiremos la opción de srcnat en el apartado de Chain, en la opción de Src. Address, escribiremos la subred local, en este caso la subred 10.10.11.0/24 y en la opción de Dst. Address escribiremos la subred de destino, 192.168.2.0/24.
Tras rellenar los parámetros generales, seleccionaremos la pestaña Action y elegiremos la opción accept.
Una vez aplicada esta regla ya se permite el tráfico entre las dos redes de la VPN
¶ Configuración del tunel IPsec Soax
En primer lugar, accedemos a la CLOUD de Oasix, a través del orquestador Soax. Una vez dentro del panel de gestión, accederemos al proyecto donde queremos configurar la VPN Site to Site.
Una vez dentro, crearemos la VPN y rellenaremos el formulario con los datos correspondientes a los que hemos colocado en el extremo del Mikrotik.
Para más información de como crear o configurar una VPN en Soax, visite: VPN
¶ Fase 1
- Conexión VPN:
- Escribiremos la IP Pública remota en el Peer ID y el Peer IP, y escribiremos la misma clave precompartida que pusimos en la sección Identity del Mikrotik.
- Parámetros Opcionales
- Seleccionaremos las mismas opciones que hayamos configurado en el extremo del Mikrotik. En este caso coinciden con los parámetros por defecto.
- Políticas IKE
- Elegiremos las v2 de IKE
¶ Fase 1 y 2
- Algoritmo para las políticas
- Configuraremos los algoritmos, con las mismas opciones que configuramos en las secciones de Profile (fase1) y Proposals (fase2) del Mirotik.
En este caso, en la VPN IPsec de la Cloud de Oasix los algoritmos de autenticación y encriptación, están compartidas tanto para la fase 1 como para la fase2. Por lo que deberemos configurar en el otro extremo los mismos algoritmos en las dos fases.
¶ Fase 2
- Políticas IPSEC
- En esta sección configuraremos la mimas opciones que configuramos en la pestaña Action, de la sección Policies, de la configuración del Mikrotik
- Servicios VPN
- En esta sección se elige el router dentro del proyecto, donde queremos configurar la VPN IPsec, en este caso ya viene definida, ya que hemos arrastrado el icono VPN al router que queríamos.
- Grupo de redes conectadas (Local y Remota)
- En estas dos secciones, configuraremos las subredes que queremos que se vean entre la CLOUD Oasix y la SEDE Cliente. En este caso invertiremos la configuración que hemos realizado en el Mikrotik, donde la subred local ahora será la 192.168.2.0/24 y la subred remota la 10.10.11.254/0
Una vez confirmemos, ya tendremos la VPN site to site configurada de Mikrotik a Soax.
Si una vez seguidos los pasos la VPN no tiene conectividad, visite: Posibles Problemas VPN